使用NAKIVO实现备份加密:全面指南

教程
VMware

加密广泛用于安全目的,因为它可以防止未授权的第三方访问和传播私人数据。备份也不例外,通常是数据泄露的目标。作为数据保护策略的一部分,您可以为您的备份实施加密,作为额外的安全层。

在本文中,我们介绍了备份加密如何帮助您在遭受网络攻击时保护数据,并提高备份基础设施的整体数据保护水平。

什么是备份加密?

备份加密是将备份数据从可读格式转换为未经特殊解密密钥或密码无法读取的安全格式的过程。这确保了即使未授权的个人访问了备份数据,没有相应的凭证也无法阅读、使用或泄露这些数据,这些凭证只有授权用户才能获得。备份加密是保护敏感信息在存储和传输过程中不被盗窃、丢失或暴露的关键安全措施。

加密的一个例子是将每个人都可以阅读的纯文本转换为加密数据(在这种情况下为密文),如果以通常的方式打开,没有密码则是不可读的。因此,在用密钥将原始数据转换后,这些数据的真实含义会被扭曲,没有解密密钥就无法理解。

加密备份的重要性

数据备份加密对于防止未经授权的第三方进行数据盗窃和泄露非常重要。网络犯罪分子可以窃取您的数据,并将这些数据出售给竞争对手或将其发布在互联网上,以对您的组织造成更大的损害,这可能导致声誉和财务上的重大损失。

现代病毒、间谍软件和勒索软件是不良行为者实施不良意图的流行工具,他们的攻击变得更加复杂和频繁。除了出于防止未授权访问的数据保护目的外,备份加密还有其他重要原因,这包括:

  • 合规性和法规要求。某些类别的企业必须满足特定的法规要求,如欧盟的通用数据保护条例(GDPR)、支付卡行业数据安全标准(PCI DSS)、加州消费者隐私法案(CCPA)、健康保险便携与责任法案(HIPAA)、关键基础设施报告法案(CIRCIA)、SOC 3(系统与组织控制3)等。这些法规标准要求组织在存储和传输过程中对数据进行加密。
  • 提高整体安全性。加密备份为安全增加了一层防护,提升了数据保护策略。将备份存储为加密格式,使得通过移动存储介质(例如硬盘驱动器)将备份数据运输到另一个位置(例如位于另一个地理区域的灾难恢复站点)变得更加安全。如果带有加密备份的便携式介质丢失或被盗,第三方无法访问关键和敏感数据。

加密备份对抗勒索软件

备份用于通过创建原始数据至少一个额外副本以在需要时实现快速恢复来保护数据。因此,如果原始数据副本被勒索软件损坏或删除,那么你可以从备份中恢复数据。攻击者知道这个策略,试图访问数据备份以破坏它们,使数据恢复变得不可能。在网络攻击者破坏或销毁备份之前,他们可以复制备份到自己的服务器,从而从被盗备份中提取你的数据。

如果备份以加密文件形式存储,这种方法并不能保护这些文件免受勒索软件的损坏或删除。勒索软件通常使用强大的加密算法加密数据,从而使数据不可读,换句话说,就是损坏数据。勒索软件可以重新加密你或你的备份应用程序之前加密的备份文件,使其无法被你访问。

同时,如果勒索软件将您的加密备份文件发送给攻击发起者,如果使用了强加密算法并将密钥、密码和凭据存储在安全的地方,攻击者将无法访问您的数据。攻击者喜欢要求赎金以防止发布被窃数据,但是如果您加密了备份,且备份数据对攻击者不可访问,那么被窃的加密备份数据对他们来说是无用的。加密备份更不易被篡改。

在有些情况下,硬件加密在对抗勒索软件攻击时可能更有效,但这种做法有其自身的缺点。硬件安全模块(HSMs)可用于硬件加密。它可以是PCIe卡,加密密钥可以存储在特殊的USB设备上(外观类似于U盘)。智能卡或HASP密钥是存储加密/解密硬件密钥的其他例子。从这类设备中提取密钥更为困难。在这种情况下,必须在计算机上安装适当的驱动程序。

使用空气隔离存储来保护您的备份免受勒索软件侵害。这种存储类型可以防止勒索软件修改数据。勒索软件无法从与计算机和网络物理断开的空气隔离存储中复制数据。使用不可变存储或具有备份不可变能力的存储,其目的与空气隔离存储用于备份保护的目的相似。

静态和传输中的加密

备份在写入目标存储介质时可以进行加密。由于备份数据通常在写入目标存储之前通过网络传输,因此加密这些数据所经过的网络流量非常重要。不良行为者可以使用流量嗅探器截获(捕获)网络流量,以此访问备份数据。对传输中的数据进行加密可以降低此类事件的风险。传输中的加密是在数据源和备份目标存储之间进行的。

静态加密涉及在备份存储上加密备份数据,例如硬盘驱动器上的备份存储库、磁带盒、云等。虽然传输中的备份数据加密可以保护数据不被黑客通过网络访问,但静态备份的加密则可以在黑客访问备份存储时保护数据。

传输中和静态加密可以结合使用,用于备份加密并提高安全级别。

加密算法

实现数据加密使用了复杂的数学算法和加密/解密密钥。为了方便起见,软件可以将密码或密码短语转换为相应长度的加密密钥。这种方法允许用户记住他们的密码,这比学习长密钥要容易。备份加密的效率,与其他数据一样,取决于加密算法。

有对称和非对称加密算法。在对称算法中,使用一个密钥来加密和解密数据。在非对称算法中,使用一对密钥:一个公钥用于加密数据,一个私钥用于解密数据。

以下是两个例子:

  • 对称加密算法包括AES、DES、3DES、Blowfish、Twofish等。
  • 非对称加密算法包括RSA(1024、2048和4096位)、ECC、DSA、Diffie-Hellman等。

高级加密标准(AES)是目前最常用的加密算法之一,因为其安全性高。密钥长度非常重要,它定义了加密数据可以被认为是安全和受保护的时间长度。128位密钥应该足以保护数据长达三年。支持的更长密钥有192位和256位。

AES-256使用256位密钥长度确保最高级别的安全性。要暴力破解一个AES-256解密密钥需要数千年时间(考虑到现代计算机的最大性能)。美国政府自2003年起就开始使用AES来保护数据。这种加密算法经过良好测试,并被密码学专家认可。

使用安全套接层/传输层安全(SSL/TLS)的网络交易在传输过程中是加密的。最常见的例子是HTTPS协议。应使用TLS 1.1或更高版本以实现强加密。

更长的加密密钥确保更高的安全级别,但需要更多的CPU资源来进行数据加密。从加密备份中恢复数据也需要更多时间。在数据通过网络传输时进行加密,使用更长的加密密钥也会降低有用数据的传输速度。这是由于:

  • 加密数据有时会因为添加填充以确保数据与加密算法的块大小对齐而略微增大。
  • 加密连接通常包括额外的元数据和头部信息以管理加密过程。这包括诸如证书、加密密钥和握手信息等元素。
  • 这些额外的元数据字节增加了数据负载的大小,略微增加了需要传输的数据量。
  • 数据量的增加可能会降低有效的网络吞吐量,因为对于相同数量的原始信息需要传输更多的数据。

加密算法可以根据输入类型分类为流密码和块密码,适用于对称算法。在流密码中,一次加密一个块。块密码是一种对称密钥加密算法:

  • 块密码以固定大小的块(例如,64位或128位块)加密数据。
  • 块密码使用对称密钥,这意味着加密和解密使用相同的密钥。
  • 常见的块密码算法包括AES、DES和Blowfish。

加密与哈希对比

哈希函数是一种不可逆的函数,可以将文本字符串或另一组数据转换成哈希值。计算出的哈希值可以用来检查数据完整性(文件)和真实性(密码哈希),或生成唯一标识符(指纹)。哈希函数的例子有SHA-256和MD5。

加密备份相关的风险

加密备份增加了备份子系统的复杂性和开销。丢失密钥或密码可能会导致严重问题,因为将无法从加密备份中恢复数据。如果第三方人员或攻击者访问到加密密钥,可能会发生数据盗窃和数据丢失。因此,组织应使用可靠的策略来存储加密备份的密钥并管理这些密钥,密钥轮换方案和安全策略,以仅向授权用户提供密钥。

与加密磁带备份相关的风险也存在。LTO-4 到 LTO-7 磁带标准支持使用 AES-256 对磁带媒体进行加密。在对磁带写入数据时,对称加密/解密密钥存储在磁带驱动器上,但不会长时间存储。出于安全考虑,这些密钥不会写入磁带。如果灾难损坏数据中心并摧毁备份服务器,可能会发生数据恢复问题,因为解密密钥会随之被破坏。

为了降低风险,建议您定期进行备份测试,以确保在不同的场景下可以从加密备份中恢复数据。

在硬盘驱动器级别使用加密或全盘加密时,如果硬盘驱动器发生故障,实验室中的数据恢复可能无法进行。备份副本有助于降低在加密 HDD 或 SSD 上存储备份的风险。

密钥管理

使用一个密钥对所有数据进行加密存在风险。如果攻击者能够获取这个密钥,那么攻击者就可以解密并访问所有数据。为了达到高安全标准,建议组织为不同的数据集使用多个加密密钥。这些密钥应存放在安全的地方,仅限授权用户访问。管理员必须保护密钥,并确保在灾难情况下密钥仍然可用。

为了在整个加密/解密密钥的生命周期中改进密钥管理过程,以及防止密钥丢失和泄露,可以实施密钥管理系统或KMS。KMS可用于控制谁能访问密钥以及如何分配和轮换密钥。密钥管理的一个标准是密钥管理互操作性协议(KMIP)。可以使用密钥库来存储和管理加密密钥。

在NAKIVO Backup & Replication中准备备份加密

NAKIVO Backup & Replication是一款支持加密备份的数据保护解决方案,可以使用以下方法对备份数据进行加密:

  • 源端加密,在数据离开源端之前、传输过程中以及在备份存储库中的整个生命周期内对数据进行加密
  • 网络加密,在数据通过网络传输到备份存储库的过程中对数据进行加密
  • 备份存储库加密,在数据存储时对数据进行加密

NAKIVO解决方案使用强大的AES-256加密,这被认为是全球加密数据的行业标准。

源端备份加密从版本11.0开始提供。此功能的优势在于备份数据首先在源端进行加密,然后加密后的数据被传输到备份存储库并以加密形式存储。这种方法简化了配置和备份过程,也可以用于云备份。

系统要求

源端加密的要求

在NAKIVO Backup & Replication版本11.0中,引入了一个新的选项,允许您在备份作业级别配置备份加密。数据在源端加密,并在网络传输和备份存储库中保持加密状态。

支持的备份目标类型:

  • 本地文件夹
  • NFS和SMB共享
  • Amazon EC2
  • Amazon S3及兼容S3的对象存储
  • Wasabi
  • 去重设备
  • Azure Blob存储
  • Backblaze B2
  • 磁带

支持的备份存储库类型:增量备份与完全备份

网络加密的要求

要为版本10.11.2及更早版本配置网络加密,需要两个传输器。一个传输器是NAKIVO Backup & Replication的核心组件,负责数据处理、传输、加密、压缩等。

在网络上传输数据时,加密发生在两个传输器之间:源端的传输器在发送数据到目的端传输器之前,对数据进行压缩和加密,目的端传输器对数据进行解密并将其写入备份仓库。

备份仓库加密要求

在目的地存储的备份加密可以在创建NAKIVO Backup & Replication中的备份仓库时,在备份仓库级别上启用。

备份仓库加密支持Linux操作系统上的增量加完全和永久增量备份仓库类型。

如何启用备份加密

让我们探讨如何在NAKIVO数据保护解决方案中启用不同类型的备份加密。

源端备份加密(版本11.0及以上)

在NAKIVO Backup & Replication v11.0中,您可以在源端设置备份加密以确保数据传输和存储的安全。您可以在备份或备份复制任务向导的选项步骤中配置这些选项。

源端备份加密意味着数据在发送到仓库之前即在源端进行加密。

要在v11.0的备份任务级别上启用源端备份加密,请执行以下操作:

  1. 备份加密的下拉菜单中,选择启用
  2. 点击设置,位于备份加密行上,以设置加密密码。

  3. 选择创建密码,输入密码,并确认密码。

    为这个密码输入描述。输入的描述名称将显示在密码列表中,您以后可以选择不同的备份作业使用。我们使用Hyper-V备份作为密码的名称。

    如果您不使用AWS KMS,则会看到消息:密钥管理服务已禁用。查看加密选项卡。如果您已经配置并启用了AWS KMS,这个警告将不会显示。请注意,要配置KMS来管理您的密码,您必须首先将您的AWS账户添加到NAKIVO Backup & Replication的清单中。

    点击继续

  4. 您输入的密码将自动应用。

    或者,您可以选择一个现有的密码。

  5. 点击 完成 以保存作业设置,或者点击 完成并运行 以保存设置并运行配置了备份加密的作业。

  6. 在应用作业设置时,您将看到一个警告,提示备份受密码保护,如果您丢失了密码,将无法解密数据。如果您没有启用AWS密钥管理服务,则会出现此警告。点击 继续

the AWS密钥管理服务,确保不会丢失为备份设置的加密密码。要使用AWS KMS,在NAKIVO Backup & Replication的网页界面中,转到设置>常规>系统设置,选择加密标签页,并勾选使用AWS密钥管理服务复选框。请记住,必须先将AWS账户添加到NAKIVO Backup & Replication的清单中,才能启用AWS KMS。

为备份配置网络加密

我们可以在备份数据通过网络传输时提高安全级别并配置加密。此功能在v10.11版本之前的版本中的主要要求之一是,必须在不同的计算机上安装两个传输器。

我们可以将Hyper-V主机添加到清单中,并使用网络加密将Hyper-V虚拟机备份到加密的备份存储。当从NAKIVO解决方案的网页界面将Hyper-V主机添加到NAKIVO清单时,会在Hyper-V主机上安装一个传输器。

以下是此配置的截图可视化。

现在,我们可以在备份作业选项中配置网络加密以在网络中传输备份。为作业输入显示名称和其他参数。

网络加密下拉列表中,选择已启用。此参数有效,因为使用两个传输器在计算机之间传输备份数据。

我们还可以在远程机器上部署一个传输器,该传输器可以位于本地站点,以增加要备份的工作负载数量。传输器可以部署在远程站点的远程机器上,用于存储备份和备份副本,以实现3-2-1备份规则。在这种情况下,即使无法使用加密的VPN连接,通过网络传输的备份数据也可以加密并防止泄露。

为备份存储库启用加密

在创建备份存储库时,可以为整个存储库配置备份加密。此功能自NAKIVO Backup & Replication v5.7版本起就已经提供。如果您之前创建的备份存储库没有加密,您需要创建一个新的存储库,以便在备份存储库级别启用加密。默认已安装Onboard传输器。让我们创建一个备份存储库并关注如何启用备份加密。

注意:为整个备份存储库启用加密将禁用此存储库中存储的备份的不可变特性。此功能仅适用于基于Linux的机器上的备份存储库。

整个备份存储库的加密设置在创建备份存储库向导的选项步骤中配置:

  • 加密下拉菜单中,选择已启用。然后下方会出现密码字段。
  • 输入加密密码并确认此密码。
  • 点击完成完成加密备份存储库的创建。

现在起,此备份存储库中存储的所有备份都将是加密的。

从加密备份中恢复

从加密备份中恢复数据与从非加密备份中恢复类似。如果未启用KMS或将存储库附加到新的NAKIVO解决方案实例,您必须再次提供密码以允许恢复。换句话说,如果您将加密备份存储库附加到NAKIVO Backup & Replication的实例(不同的实例或新安装的总监实例),您必须输入为此备份存储库先前设置的加密密码(如果您在存储库级别启用了加密)。

如果在附加存储库到新的NAKIVO解决方案实例后启用KMS进行备份加密,您只需再次启用KMS并选择上次使用的适当密钥。在这种情况下,您将不需要重新输入所有密码。

Source:
https://www.nakivo.com/blog/how-to-enable-backup-encryption/